CISA(美国网络安全与基础设施安全局)在 2021 年发布了零信任成熟度模型(ZTMM)的第一个版本,2023 年发布了 v2.0 版本。它是目前最系统化的零信任自评估框架——不是为了合规检查,而是为了回答一个问题:我们离零信任还有多远,从哪里开始?
前置阅读:NIST SP 800-207 架构拆解。
一、五支柱 × 四等级
ZTMM v2.0 将零信任分解为五个独立的支柱(Pillar),每个支柱有四个成熟度等级:
1.1 五个支柱
| 支柱 | 覆盖范围 | 核心问题 |
|---|---|---|
| 身份(Identity) | 用户身份、服务身份、设备身份 | “认证足够强吗?” |
| 设备(Device) | 设备清单、设备姿态、合规执行 | “设备可以被信任吗?” |
| 网络(Network) | 微分段、网络加密、网络可观测性 | “网络层能执行身份决策吗?” |
| 应用与工作负载(Application & Workload) | 应用认证、SSO 集成、API 安全 | “应用本身有零信任能力吗?” |
| 数据(Data) | 数据分类、加密、访问治理、DLP | “数据受到保护吗?” |
1.2 四个等级
| 等级 | 特征 | 本质 |
|---|---|---|
| Traditional(传统) | 静态策略、手动配置、一次性认证 | 边界安全 |
| Initial(初级) | 开始自动化、开始身份感知、部分 MFA | 开始了零信任但主要靠手动 |
| Advanced(高级) | 跨支柱协调、持续验证、自动响应 | 初步的零信任 |
| Optimal(最优化) | 完全自动化、自适应策略、全局可见性 | 全自动零信任 |
二、每个支柱的跳跃点
以下是对每个支柱从初级到高级的具体工程需求。
2.1 身份支柱
| 等级 | 关键特征 |
|---|---|
| Traditional | 用户名/密码 + 部分应用的 MFA |
| Initial | SSO + MFA 覆盖主要应用(但 MFA 为可选) |
| Advanced | MFA 强制 + 防钓鱼 MFA(FIDO2/WebAuthn)+ 服务身份的 SPIFFE/mTLS |
| Optimal | 持续风险感知的认证 + 自动化身份生命周期 |
从 Initial 到 Advanced 的跳跃:将 MFA 从”可选”变为”强制”,并且要求防钓鱼的 MFA 方式(FIDO2 安全密钥或 Passkey),因为 TOTP 和 SMS 可以被中间人攻击绕过。同时,服务身份从”共享密钥”变成 SPIFFE SVID。
2.2 设备支柱
| 等级 | 关键特征 |
|---|---|
| Traditional | 手动设备清单 + 部分 MDM |
| Initial | 自动化设备清单 + MDM 覆盖主要设备 |
| Advanced | 设备姿态集成到授权决策 + 不合规设备自动降权 |
| Optimal | 实时设备姿态 + TPM 远程证明 + 自动化补救 |
从 Initial 到 Advanced 的跳跃:策略引擎可以在授权决策中使用设备姿态——不只是”设备是否 MDM 管理”,而是”设备当前是否合规”。不合规的设备被自动降级而非完全拒绝。
2.3 网络支柱
| 等级 | 关键特征 |
|---|---|
| Traditional | VLAN 分段 + 基于 IP 的防火墙 |
| Initial | 按应用的网络分段(并非只有 VLAN) |
| Advanced | 基于身份的微分段 + 全网链路加密(mTLS 或 WireGuard) |
| Optimal | 完全身份化的网络 + 自适应微分段 |
从 Initial 到 Advanced 的跳跃:微分段的粒度从”按 VLAN”变为”按身份”,且企业内网中的所有链路都默认加密。网络设备本身也通过 SPIFFE 获得身份。
2.4 应用与工作负载支柱
| 等级 | 关键特征 |
|---|---|
| Traditional | 应用自带认证 + 独立的密码数据库 |
| Initial | SSO/OIDC 集成覆盖主要应用 |
| Advanced | 所有应用通过 IAP 或 OIDC 集成 + API 的细粒度授权 |
| Optimal | 策略即代码 + 自动化 API 安全测试 + 自适应应用保护 |
2.5 数据支柱
| 等级 | 关键特征 |
|---|---|
| Traditional | 最低要求的静态加密 + 无自动化分类 |
| Initial | 关键数据的静态加密 + 基础的数据分类 |
| Advanced | 全面的数据分类 + 加密 at rest + DLP + 加密 at transit |
| Optimal | 实时数据访问治理 + 基于分类标签的自适应访问控制 |
三、自评估的实操方法
ZTMM 不是打分表——它是一个差距分析工具。实操步骤:
- 给每个支柱打分:用 ZTMM 的描述,诚实地评估你的组织在五个支柱上各处在哪个等级。大多数组织会在不同支柱上有不同的等级(例如:身份在 Advanced,但网络在 Initial)。
- 找到最低的支柱:零信任的安全性由最弱的支柱决定——即使身份是 Optimal,如果网络是 Traditional(以内网边界信任为基础),攻击者仍然可以通过攻破网络层绕过身份层。
- 设定优先级:哪个支柱的差距最大?哪个支柱提升一个等级的投资回报最高?
- 不是追求 Optimal:CISA 明确指出 Optimal 是长期目标,大多数联邦机构的目标是 Advanced——将所有支柱都提升到 Advanced 已经是非常成熟的零信任状态。
四、ZTMM 的限制
- 美国政府背景:ZTMM 是为美国联邦机构(FISMA 覆盖的组织)设计的。对于私营企业,有些支柱的细节不完全适用(例如,联邦机构有特殊的身份生命周期要求,私营企业可以更灵活)。
- 不量化:ZTMM 只定义了四个等级,没有量化指标(如具体多少百分比的 MFA 覆盖率算”Advanced”)。实施者需要自己补充定量指标。
- 不涉及成本:从 Initial 到 Advanced 的跳跃对应着显著的工程投资——ZTMM 不讨论 ROI、TCO 和优先级的经济学。
下一篇:零信任迁移的工程策略。
参考资料
- CISA. (2023). Zero Trust Maturity Model Version 2.0. https://www.cisa.gov/zero-trust-maturity-model
- OMB. (2022). M-22-09: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles.
- DoD. (2022). Department of Defense Zero Trust Strategy and Roadmap.
同主题继续阅读
把当前热点继续串成多页阅读,而不是停在单篇消费。
【身份与访问控制工程】PAM、IGA 与审计合规
PAM(Privileged Access Management)管理的是'有钥匙的人'——域管理员、数据库 DBA、云基础设施 root 账号。IGA(Identity Governance and Administration)管理的是'谁应该有什么访问权限'——访问认证(Access Certification)、权限审计(SoD 分离)、自动化开通。两者加上审计日志构成安全合规的三足鼎立。本文拆解 PAM 的会话劫持与审计、IGA 的访问认证与角色挖掘,以及审计日志的不可篡改设计。
零信任安全架构深度系列
零信任是 IAM 的自然延伸——当身份变成新边界,VPN 的'拨入即信任'模型必须被'永不信任、始终验证'取代。本系列从 NIST SP 800-207 规范、Google BeyondCorp 六篇论文、SPIFFE/SPIRE 联邦到微分段、持续验证、ZTNA 和零信任迁移的工程策略,系统拆解零信任的每一种组件和每一步实施。
【身份与访问控制工程】SCIM 与账号生命周期:开通、变更、离职自动化
SSO 只解决认证,SCIM 解决账号的生命周期管理。但 SCIM 2.0 的实现远不是调几个 REST API 那么简单:User/Group schema 的映射、Delta vs Full sync 的同步策略、Patch 操作语义,每个环节都有坑。本文从账号生命周期的四个关键事件出发,拆解 SCIM 2.0 的核心协议、同步模式、Schema 扩展,以及与企业 IdP(Azure AD、Okta)对接的实际工程经验。
【身份与访问控制工程】IAM 全景:为什么这是高价值赛道
从 2020 年 SolarWinds 到 2024 年 Okta 支持系统泄露,身份基础设施的安全失败反复证明一件事:IAM 不是 IT 支撑系统,而是安全架构的承重墙。本文建立现代 IAM 的全景地图——从认证协议、令牌体系、权限模型到身份治理与平台选型,给出 5 个贯穿全系列的核心问题。